ФорумПрограммированиеПыхнуть хотите?F.A.Q. → Авторизация пользователей в полном смысле этого слова.

Авторизация пользователей в полном смысле этого слова.

  • md5

    Сообщения: 11951 Репутация: N Группа: в ухо

    Spritz 5 апреля 2008 г. 15:35, спустя 2 минуты 14 секунд

    хотя с другой стороны, он может шифровать пароль. и если у него есть код шифровки — расшифровать и выдать в нормальном виде
    все умрут, а я изумруд
  • vasa_c

    Сообщения: 3127 Репутация: N Группа: в ухо

    Spritz 6 апреля 2008 г. 3:14, спустя 11 часов 38 минут 37 секунд

    Значит получается, что на тех сайтах, где высылается пароль в нормальном виде - там нету никакого md5? И значит админ сайта может посмотреть все пароли?

    Может.
    А там где хешируется, может перехватить данные посылаемые при авторизации.
    И может читать приватную переписку, личные сообщения, отслеживать перемещения по сайту, с каких сайтов пришел и на каких IP сидел.
    Вещь совершенно очевидная, но почему-то для многих это становится шоком.
  • pyhtelkin

    Сообщения: ? Репутация: N Группа: Кто попало

    Spritz 18 апреля 2008 г. 11:57, спустя 12 дней 8 часов 43 минуты

    Интересная тема, но все смешалось в кучу.

    Есть предложение по коду проверки, session_start() поместить здесь не в шапку а непосредственно меж 20й и 21й строкой кода.
    Чтобы сессия запускалась только в случае если пользователь нашелся. Это будет красиво. Как считаете?

  • XoxMa

    Сообщения: ? Репутация: N Группа: Кто попало

    Spritz 23 апреля 2008 г. 12:26, спустя 5 дней 28 минут



    Значит получается, что на тех сайтах, где высылается пароль в нормальном виде - там нету никакого md5?

    да, да, да
    хули не ясно?
    не может же он расхешировать md5. нету такого. с пальца ему высосать чтоли?
    конечно значит не хешируется пароль а кладется в первозданном виде

    А вот ты не прав.
    Я придумал способ, как можно узнать пароль пользователей.
    Когда пользователи будут заходить на сайт, мы напишем скрипт который будет сохранять введённые данные пользователями например в бд или в текстовы файл. И вставим мы этот скрипт перед моментов, когда мы будем хэшировать пароль методом md5 :D
  • sap

    Сообщения: ? Репутация: N Группа: Кто попало

    Spritz 23 апреля 2008 г. 13:48, спустя 1 час 21 минуту 59 секунд

    Ты гений.
  • mechanic

    Сообщения: ? Репутация: N Группа: Кто попало

    Spritz 24 апреля 2008 г. 2:32, спустя 12 часов 44 минуты 9 секунд

    дашь скрипт?:)
  • sap

    Сообщения: ? Репутация: N Группа: Кто попало

    Spritz 24 апреля 2008 г. 6:06, спустя 3 часа 33 минуты 47 секунд

    дашь скрипт?:)

    На шару не давай! Можно ж нехило бабла поднять.
  • XoxMa

    Сообщения: ? Репутация: N Группа: Кто попало

    Spritz 24 апреля 2008 г. 11:20, спустя 5 часов 14 минут 9 секунд


    дашь скрипт?:)

    mechanic, я даж не знаю что тебе сказать. Это самое лёгкое, что только можно делать на свете с php
    Мой тебе совет: скачай все книги по php, которые здесь найдёшь и все их просматри!: http://knigka.info/
  • sap

    Сообщения: ? Репутация: N Группа: Кто попало

    Spritz 24 апреля 2008 г. 11:54, спустя 34 минуты 3 секунды

    Это пять )))))))))))))
  • mechanic

    Сообщения: ? Репутация: N Группа: Кто попало

    Spritz 24 апреля 2008 г. 13:37, спустя 1 час 42 минуты 55 секунд

    о, спасибо за совет, дружище! )
    пойду качать)
  • Timur

    Сообщения: 1068 Репутация: N Группа: Джедаи

    Spritz 24 апреля 2008 г. 13:41, спустя 3 минуты 9 секунд

    XoxMa™, перечитай ещё раз пост vasa_c

    … А там где хешируется, может перехватить данные посылаемые при авторизации.
    И может читать приватную переписку, личные сообщения, отслеживать перемещения по сайту, с каких сайтов пришел и на каких IP сидел.
    Вещь совершенно очевидная, но почему-то для многих это становится шоком.


    sap, mechanic, хорош уже )
  • Lirck

    Сообщения: ? Репутация: N Группа: Джедаи

    Spritz 20 июля 2008 г. 11:37, спустя 86 дней 21 час 56 минут

    А где еще хранить «соль»? Кроме базы.
  • Lirck

    Сообщения: ? Репутация: N Группа: Джедаи

    Spritz 20 июля 2008 г. 11:39, спустя 1 минуту 30 секунд

    И еще как определить в какой пользователь группе?
    $_SESSION['group'] = 'blabla';

    так?
  • disc

    Сообщения: ? Репутация: N Группа: Джедаи

    Spritz 20 июля 2008 г. 11:53, спустя 14 минут 23 секунды


    А где еще хранить «соль»? Кроме базы.


    Я храню в солянке, ой в переменной, если соль - это константа :)
  • Lirck

    Сообщения: ? Репутация: N Группа: Джедаи

    Spritz 20 июля 2008 г. 11:55, спустя 1 минуту 49 секунд

    Тоесть она должна быть с самого начала определена?
    А если злоумышленник скачает скрипт, посмотрит сол и поставит соль и хэш на john the ripper, то что?

Пожалуйста, авторизуйтесь, чтобы написать комментарий!